CANBERRA, Australien (AP) – Australiens größter Krankenversicherer sagte am Mittwoch, ein Cyberkrimineller habe die persönlichen Daten aller seiner 4 Millionen Kunden gehackt, als die Regierung Gesetze einführte, die die Strafen für Unternehmen erhöhen würden, die die privaten Daten der Kunden nicht schützen.
Medibank sagte, dass bei der Verletzung, die der Polizei vor einer Woche gemeldet wurde, als der Handel mit den Aktien des Unternehmens eingestellt wurde, auch auf „erhebliche Mengen an Daten zu gesundheitsbezogenen Angaben“ zugegriffen worden sei.
Der Dieb hat Lösegeld gefordert und Berichten zufolge gedroht, die Diagnosen und Behandlungen hochkarätiger Kunden aufzudecken.
Medibank sagte, ihre Priorität sei es, die spezifischen Daten zu entdecken, die in Bezug auf jeden Kunden gestohlen wurden, und diese Informationen mit diesen Kunden zu teilen.
Das Unternehmen hatte zuvor gesagt, dass der Verstoß vermutlich auf seine Tochtergesellschaft AHM und ausländische Studenten beschränkt sei.
„Unsere Untersuchung hat nun ergeben, dass dieser Kriminelle auf alle personenbezogenen Daten unserer privaten Krankenversicherungskunden und auf erhebliche Mengen ihrer Krankenversicherungsdaten zugegriffen hat“, sagte der Vorstandsvorsitzende der Medibank, David Koczkar, in einer Erklärung gegenüber der Australian Securities Exchange.
„Dies ist ein schreckliches Verbrechen – dies ist ein Verbrechen, das dazu bestimmt ist, den schwächsten Mitgliedern unserer Gemeinschaft maximalen Schaden zuzufügen“, fügte Koczkar mit einer Entschuldigung bei den Kunden hinzu.
Die Regierung plant dringende Gesetzesreformen zur Regulierung der Cybersicherheit, seit ein Hacker die persönlichen Daten von fast 10 Millionen aktuellen und ehemaligen Kunden von Optus, Australiens zweitgrößtem Mobilfunkanbieter, gestohlen hat.
Optus wurde am 21. September bewusst, dass persönliche Daten von mehr als einem Drittel der 26 Millionen Einwohner Australiens gestohlen worden waren.
Bei der Einführung von Änderungen des Datenschutzgesetzes am Mittwoch im Parlament erwähnte Generalstaatsanwalt Mark Dreyfus beide Unternehmen und MyDeal, einen Online-Einzelhandelsvermittler, der die Daten von 2,2 Millionen Kunden bei einem vor zwei Wochen aufgedeckten Hack verloren hat.
„Wie die Cyberangriffe von Optus, Medibank und MyDeal kürzlich gezeigt haben, haben Datenschutzverletzungen das Potenzial, den Australiern ernsthaften finanziellen und emotionalen Schaden zuzufügen, und das ist inakzeptabel“, sagte Dreyfus gegenüber dem Parlament.
„Regierungen, Unternehmen und andere Organisationen sind verpflichtet, die personenbezogenen Daten der Australier zu schützen und sie nicht als kommerzielles Gut zu behandeln“, fügte Dreyfus hinzu.
Die Regierung steht Unternehmen kritisch gegenüber, die mehr Kundendaten als nötig sammeln, um damit Geld zu verdienen, und zwar auf eine Weise, die nichts mit den Dienstleistungen zu tun hat, für die die Informationen bereitgestellt wurden.
Die Strafen für schwerwiegende Verstöße gegen das Datenschutzgesetz würden im Rahmen der vorgeschlagenen Änderungen von derzeit 2,2 Millionen australischen Dollar (1,4 Millionen US-Dollar) auf 50 Millionen AU$ (32 Millionen US-Dollar) steigen.
Ein Unternehmen könnte auch mit einer Geldstrafe in Höhe von 30 % seiner Einnahmen über einen bestimmten Zeitraum belegt werden, wenn dieser Betrag 50 Millionen AUD (32 Millionen USD) übersteigt.
Medibank sagte am Mittwoch, dass sie keine Cyber-Versicherung habe und schätzte, dass der Hack ihre Einnahmen bis Anfang nächsten Jahres um 25 Millionen AU$ (16 Millionen Dollar) bis 35 Millionen AU$ (22 Millionen Dollar) schmälern würde.
Der Handelsstopp von Medicare wurde am Mittwoch aufgehoben und die Aktien gaben im frühen Handel um mehr als 14 % nach.